CVE-2022-32548 Erkennung: Kritische RCE-Schwachstelle betrifft DrayTeks Flaggschiff-Modelle

[post-views]
August 05, 2022 · 3 min zu lesen
CVE-2022-32548 Erkennung: Kritische RCE-Schwachstelle betrifft DrayTeks Flaggschiff-Modelle

Forscher haben eine kritische Sicherheitslücke in 29 Modellen der DrayTek Vigor-Router aufgedeckt, insgesamt mehr als 700.000 Geräte, die derzeit im Einsatz sind. DrayTek Vigor-Router gewannen während der weltweiten Umstellung auf Heimarbeitsplätze während der Pandemie an Popularität und werden hauptsächlich von Mitarbeitern kleiner und mittlerer Unternehmen im Vereinigten Königreich, den Niederlanden, Vietnam, Taiwan und Australien genutzt.

Die Schwachstelle wird als CVE-2022-32548 verfolgt und erlaubt Remote Code Execution (RCE), wodurch das gesamte kompromittierte Netzwerk gefährdet wird. Die Schwachstelle ist mit einem CVSS-Wert von 10,0 bewertet.

Der taiwanesische SOHO-Hersteller bestätigte, dass es den kriminellen Hackern gelungen ist, den Exploit ohne Benutzerinteraktion durchzuführen; die einzige Voraussetzung ist, dass das Gerät dem Internet ausgesetzt ist.

Erkennung von CVE-2022-32548

Die zunehmende Anzahl und Schwere von Exploits schaffen eine erweiterte Angriffsfläche, die täglich mehr Nutzer gefährdet. Das SOC Prime-Team von Detection Engineers veröffentlicht rechtzeitig Sigma-unterstützte Inhalte für die neuesten Bedrohungen, um SOC-Profis zu helfen, über aufkommende Bedrohungen auf dem Laufenden zu bleiben. Eine der kürzlich veröffentlichten Sigma-Regeln ermöglicht die Identifizierung von potenziellen Versuchen der Ausnutzung von CVE-2022-32548:

Möglicher Versuch zur Ausnutzung von RCE bei DrayTek Vigor Routern [CVE-2022-32548] (über Proxy)

Die Regel ist abgestimmt mit dem MITRE ATT&CK® Framework v.10 und adressiert die Taktik des anfänglichen Zugriffs mit der Technik Exploit Public-Facing Application (T1190) als Haupttechnik, verfügbar für 10 SIEM-, EDR- und XDR-Plattformen.

Wenn Sie neu auf der SOC Prime-Plattform sind – ein führender Anbieter von Detection-as-Code-Inhalten – durchsuchen Sie eine umfangreiche Sammlung von Sigma-Regeln mit relevantem Bedrohungskontext, CTI- und MITRE ATT&CK-Referenzen, CVE-Beschreibungen und erhalten Sie Updates zu Trends im Threat Hunting. Keine Registrierung erforderlich! Drücken Sie den Erkunden Sie den Bedrohungskontext Button, um mehr zu erfahren. Registrieren Sie sich, indem Sie auf den Detect & Hunt Button unten klicken und schalten Sie unbegrenzten Zugang frei zu der weltweit ersten Plattform für kollaborative Cyberverteidigung, Bedrohungssuche und Entdeckung, die sich in über 26 SIEM-, EDR- und XDR-Plattformen integriert.

Detect & Hunt Erkunden Sie den Bedrohungskontext

Analyse von CVE-2022-32548

The Das Trellix Threat Labs Forschungsteam warnt Benutzer, die dem betroffenen Cluster der Exploitation-Impacten ausgesetzt sind, wie das Lecken sensibler Daten, kompromittierte Geräte, die als DDoS- oder Kryptowährungs-Miner-Bots verwendet werden, ermöglichten Man-in-the-Middle-Angriffen, Gegnern, die auf die im LAN befindlichen Ressourcen zugreifen, laterale Bewegungen und vollständige Übernahme des Geräts.

Die Beweiskette legt nahe, dass die Schwachstelle durch ein Buffer Overflow-Problem auf der Anmeldeseite ausgelöst werden kann. Mindestens 200.000 der entdeckten Router wurden als internetfähig bestimmt und wurden so zu einem leichten Ziel für Gegner, die CVE-2022-32548 ausnutzen möchten. Die restlichen 500.000 können nur über LAN ausgenutzt werden.

Der Anbieter hat Patches für alle betroffenen Modelle veröffentlicht.

In der Flut kritischer Schwachstellen ist es wichtig, über die Ereignisse in der Cybersecurity-Branche auf dem Laufenden zu bleiben. Folgen Sie dem SOC Prime Blog für die neuesten Sicherheitsnachrichten und Updates zu Inhalten zur Bedrohungserkennung. Suchen Sie nach einer vertrauenswürdigen Plattform zur Verbreitung Ihrer Erkennungsinhalte und zur Förderung der kollaborativen Cyberverteidigung? Treten Sie dem Crowdsourcing-Programm von SOC Prime bei, um Ihre Sigma- und YARA-Regeln mit der Community zu teilen, Bedrohungsuntersuchungen zu automatisieren und Feedback und Validierungen von einer Community von über 28.000 Sicherheitsexperten zu erhalten, um Ihre Sicherheitsoperationen zu verbessern.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt 5 min zu lesen Neueste Bedrohungen Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt by Daryna Olyniychuk CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt 4 min zu lesen Neueste Bedrohungen CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt by Daryna Olyniychuk CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung 3 min zu lesen Neueste Bedrohungen CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung by Veronika Telychko
Alle Nachrichten